本篇文章更新時間:2026/04/02
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知或向一介資男的 LINE 社群反應。
如果本站內容對你有幫助,歡迎贊助支持 。
內容目錄
BGP 安全了嗎?從 Cloudflare 的全球供應商列表,重新理解網際網路的脆弱性
編輯前言:Cloudflare 的 Is BGP Safe Yet? 一直是我觀察全球 BGP(Border Gateway Protocol)路由安全的主要來源。這篇讀後筆記想帶大家快速掌握:哪些供應商已經採取 RPKI(Resource Public Key Infrastructure)與路由過濾?哪些仍然完全不安全?這對我們的網路可靠性意味著什麼?
核心觀點(Key Takeaways)
- 多數大型電信、雲端、ISP 已經做到 signed + filtering,被標示為 safe,但仍有不少國家級與大型 ISP 落後。
- 部分安全(partially safe) 的供應商通常只有簽署 ROA、或僅對 peers 過濾,仍留有攻擊風險。
- 仍有大量供應商被標示為 unsafe,意味著他們毫無 RPKI、也沒有路由過濾,是全球網路最大風險來源。
深入解析
Cloudflare 的列表本質上回答了一件事:「全世界哪些網路已經部署 RPKI 並做路由過濾?」因為 BGP 原本沒有驗證機制,只要某個網路進行惡意或意外的前綴宣告,就可能導致國際斷網、流量被劫持、服務無法抵達。
被列為 safe 的條件通常包含:
- signed:有簽署 ROA,證明自己擁有的 IP 段是合法的。
- filtering:會拒絕他人不正當的 BGP 宣告。
當這兩者同時成立,風險才能真正降低。像 Lumen、Arelion(Telia)、Hurricane Electric、Cloudflare、Amazon、Microsoft 等全球大型網路已經全部符合。
Cloudflare 的判準其實很嚴格:只簽署但未過濾者仍列為不安全。 因為只做其中之一,仍可能讓錯誤路由在網路中散布。
反之,像 PJSC RosTelecom、China Telecom、SK Telecom、PLDT、Optus、OVH、Hetzner Online 等大型供應商仍被列為 unsafe,非常值得警惕。
1. Safe:代表真正具備 RPKI 與路由防護能力
這類供應商已經做到 signed + filtering,意味著:
- 他們的 IP 宣告是可信的
- 他們不會接收或散播錯誤的 BGP 路由
這對全球網路穩定性是巨大貢獻,尤其像 AT&T、NTT、Telstra、Comcast、Vodafone、多數歐洲 ISP 都在此列。
2. Partially Safe:僅做到部分保護
這類供應商通常:
- 有簽署 ROA 但沒做過濾,或
- 只對 peers 做過濾
代表他們仍有可能散播錯誤的路由。例如 Google、DigitalOcean、Equinix Metal 都還停在 "signed but not fully filtering" 的階段。
3. Unsafe:整體網路的最大風險來源
這一長串名單尤其值得注意。原因很簡單:
沒有簽署、沒有過濾,意味著錯誤路由可以任意散播,甚至可能引發全球性流量劫持事件。
令人意外的是:
- 多個大型國家級電信仍在 unsafe:China Telecom、RosTelecom、PLDT、SK Telecom、KDDI
- 多家大型雲端供應商仍在 unsafe:OVH、Hetzner Online、IBM Cloud
- 整個南亞、南美、部分歐洲大量 ISP 尚未部署 RPKI
這說明 RPKI 全球普及仍遠未完成。
筆者心得與啟發
讀完這份資料我最大感受是:
BGP 本身的設計太老、太脆弱,而全球對 RPKI 的採用仍極不均衡。
即使 Cloudflare、Google、Amazon 這些公司投入大量資源推動 RPKI,真正決定網路安全的,卻常是那些不太顯眼但在拓樸上非常關鍵的傳統 ISP。
如果你是企業網管,我會強烈建議:
- 優先選擇 safe 供應商做 upstream。
- 如果供應商是 partially safe,應積極施壓或詢問 RPKI 部署計畫。
- 若不得不使用 unsafe 供應商,務必在自己端做好 ROA,以及盡可能使用 route filtering。
換句話說,BGP 在今天仍不安全,但我們每個網路節點都能幫助它更安全。
這份 Cloudflare 的清單正好提醒我們:全球網際網路的安全,仍是一場極需耐心與推動力的長期戰。